Aapache Tomcat AJP 文件包含漏洞(CVE-2020-1938)

0x01 简介

Java 是目前 Web 开发中最主流的编程语言,而 Tomcat 是当前最流行的 Java 中间件服务器之一,从初版发布到现在已经有二十多年历史,在世界范围内广泛使用。

Ghostcat(幽灵猫) 是由长亭科技安全研究员发现的存在于 Tomcat 中的安全漏洞,由于 Tomcat AJP 协议设计上存在缺陷,攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 上所有 webapp 目录下的任意文件,例如可以读取 webapp 配置文件或源代码。此外在目标应用有文件上传功能的情况下,配合文件包含的利用还可以达到远程代码执行的危害。

0x02 影响版本

Apache Tomcat = 6
7 <= Apache Tomcat <7.0.100
8 <= Apache Tomcat <8.5.51
9 <= Apache Tomcat <9.0.31

0x03 漏洞复现

exp:

https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi

效果:

python CNVD-2020-10487-Tomcat-Ajp-lfi.py  127.0.0.1 -p 8009 -f /WEB-INF/web.xml

Aapache Tomcat AJP 文件包含漏洞(CVE-2020-1938)

 

0x04 修复建议

临时禁用AJP协议端口,在conf/server.xm l配置文件中注释掉

<Connector port=”8009″ protocol=”AJP/1.3″redirectPort=”8443″ />

配置ajp配置中的secretRequired跟secret属性来限制认证
官方下载最新版下载地址:

https://tomcat.apache.org/download-70.cgi

https://tomcat.apache.org/download-80.cgi

https://tomcat.apache.org/download-90.cgi

https://github.com/apache/tomcat/releases

 

其他防护措施

如果相关用户暂时无法进行版本升级,可根据自身情况采用下列防护措施。

一、若不需要使用Tomcat AJP协议,可直接关闭AJP Connector,或将其监听地址改为仅监听本机localhost。

具体操作:

(1)编辑 <CATALINA_BASE>/conf/server.xml,找到如下行

(<CATALINA_BASE> 为 Tomcat 的工作目录):

<Connector port=”8009″protocol=”AJP/1.3″ redirectPort=”8443″ />

(2)将此行注释掉(也可删掉该行):

<!–<Connectorport=”8009″ protocol=”AJP/1.3″redirectPort=”8443″ />–>

(3)保存后需重新启动Tomcat,规则方可生效。

二、若需使用Tomcat AJP协议,可根据使用版本配置协议属性设置认证凭证。

使用Tomcat 7和Tomcat 9的用户可为AJP Connector配置secret来设置AJP协议的认证凭证。例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值):

<Connector port=”8009″protocol=”AJP/1.3″ redirectPort=”8443″address=”YOUR_TOMCAT_IP_ADDRESS” secret=”YOUR_TOMCAT_AJP_SECRET”/>

使用Tomcat 8的用户可为AJP Connector配置requiredSecret来设置AJP协议的认证凭证。例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值):

<Connector port=”8009″protocol=”AJP/1.3″ redirectPort=”8443″address=”YOUR_TOMCAT_IP_ADDRESS”requiredSecret=”YOUR_TOMCAT_AJP_SECRET” />

 

 

具体漏洞原理请参考:

https://www.cnblogs.com/dyanbk/p/13334860.html

https://www.secrss.com/articles/17267

上一篇:给自己的网站加上SSL安全认证


下一篇:Java基础知识23--Java中的四种访问权限:public、protected、包访问、private